Cisco heeft een ernstig lek gedicht in Unified Communications Manager (Unified CM) en Unified Communications Manager Session Management Edition (Unified CM SME). Via deze kwetsbaarheid kan een aanvaller zonder inloggegevens een server‑side request forgery (SSRF) uitvoeren. In het ergste geval schrijft de aanvaller bestanden weg op het onderliggende besturingssysteem en kan hij die later misbruiken om root‑rechten te krijgen. De kwetsbaarheid is geregistreerd als CVE‑2026‑20230 en kreeg een CVSS‑score van 8,6; Cisco markeert de impact desondanks als “Critical”. (cisco.com)

Belangrijke voorwaarde: de WebDialer‑service moet aanstaan. Die staat standaard uit en moet dus bewust door een beheerder geactiveerd zijn. Daardoor is grootschalige misbruikkans kleiner, maar systemen waarop WebDialer wel draait, lopen wél direct risico. Cisco adviseert om WebDialer zo nodig tijdelijk uit te schakelen tot de update is toegepast. Er zijn geen andere workarounds. (cisco.com)

Cisco’s beveiligingsteam (PSIRT) geeft aan dat er proof‑of‑concept‑code bestaat die misbruik aantoont. Er zijn op het moment van publicatie (3 juni 2026) geen signalen van actief misbruik. Diverse beveiligingsmedia waarschuwen wel dat PoC‑code circuleert, wat de drempel voor aanvallers verlaagt. (cisco.com)

Wat is er precies geraakt? Unified CM is het hart van Cisco’s IP‑telefonieomgeving: het regelt onder meer call control, toestelbeheer en routering. WebDialer is een aanvullende service die click‑to‑dial vanaf webpagina’s en toepassingen mogelijk maakt. Juist die WebDialer‑component vormt hier de ingang. (cisco.com)

Beschikbare fixes en versies

• Cisco heeft patches uitgebracht. De eerste vaste releases zijn 14SU6 en 15SU5 (te verwachten in september 2026, of toepasbaar via een COP‑patch). (cisco.com)
• Check of WebDialer actief is: log in op Cisco Unified CM Administration > kies in het menu Navigation voor Cisco Unified Serviceability > Go > Tools > Control Center – Feature Services en controleer in de sectie CTI Services de status van Cisco WebDialer Web Service. Staat die op Started, dan is WebDialer ingeschakeld. (cisco.com)
• Tijdelijk uitschakelen kan via Cisco Unified Serviceability > Tools > Service Activation en het vinkje bij Cisco WebDialer Web Service verwijderen; klik daarna op Save. (cisco.com)

Waarom dit ertoe doet

• SSRF‑lekken zijn berucht omdat een aanvaller het systeem zelf verzoeken kan laten doen, vaak richting interne services die normaal niet vanaf internet bereikbaar zijn. In dit geval kan dat uitmonden in het schrijven van bestanden en later privilege‑escalatie naar root, met volledige controle over de server als mogelijk gevolg. (cisco.com)
• Unified CM‑servers zijn vaak bedrijfskritisch en soms minder zichtbaar voor reguliere kwetsbaarheidsscans. Snelle patching en tijdelijk uitschakelen van WebDialer waar het niet strikt nodig is, beperken het risico aanzienlijk. (cisco.com)

Korte achtergrond en context

• Cisco publiceerde het beveiligingsadvies op 3 juni 2026 onder ID cisco‑sa‑cucm‑ssrf‑cXPnHcW en bedankt SSD Secure Disclosure voor de melding. (cisco.com)
• Eerder dit jaar pakte Cisco al een andere kritieke kwetsbaarheid in Unified Communications aan (CVE‑2026‑20045), wat illustreert dat telefonie‑ en UC‑platformen de laatste tijd nadrukkelijker op de radar van aanvallers staan. (bleepingcomputer.com)

Aanbevolen aanpak voor beheerders

• Update zo snel mogelijk naar 14SU6 of 15SU5/COP zodra beschikbaar voor jouw cluster. (cisco.com)
• Staat WebDialer aan maar heb je het niet direct nodig? Schakel de service tijdelijk uit. (cisco.com)
• Beperk toegang tot de beheers‑ en WebDialer‑endpoints tot management‑netwerken en vertrouwde IP’s, en houd de logging extra in de gaten op afwijkende verzoeken richting /webdialer‑paden. (cisco.com)

Samengevat: het risico is vooral acuut voor omgevingen waar WebDialer actief is. Daar is snel patchen of tijdelijk uitschakelen van die service de kortste route naar risicoverlaging, met als doel te voorkomen dat een relatief eenvoudige SSRF‑aanval uiteindelijk leidt tot root‑toegang op je UC‑servers. (cisco.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.